En bref

  • CVE-2026-45659 : faille de désérialisation RCE dans SharePoint Server, CVSS 8.8, ajoutée au KEV CISA le 2 juillet 2026
  • Systèmes affectés : SharePoint Server Subscription Edition, SharePoint Server 2019, SharePoint Enterprise Server 2016
  • Action requise : appliquer le patch Microsoft du Patch Tuesday de mai 2026 — les agences fédérales américaines avaient jusqu'au 4 juillet 2026

Les faits

La CISA a officiellement ajouté le 2 juillet 2026 la vulnérabilité CVE-2026-45659 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant une exploitation active en conditions réelles. La faille avait pourtant été corrigée par Microsoft lors du Patch Tuesday de mai 2026, avec une mention initiale « exploitation moins probable » dans le Security Update Guide — une évaluation erronée qui a conduit de nombreuses équipes à déprioritiser ce correctif.

CVE-2026-45659 est une vulnérabilité de type désérialisation de données non fiables (CWE-502). Son score CVSS v3.1 est de 8.8. Le vecteur d'attaque est réseau (AV:N), aucune interaction utilisateur n'est requise (UI:N), la complexité d'attaque est faible (AC:L), et seuls des privilèges faibles sont requis (PR:L). Cette combinaison en fait une cible particulièrement attractive pour les groupes d'attaquants orientés accès initial.

Sur le plan technique, le vecteur d'exploitation passe par le pipeline de traitement des requêtes SharePoint, qui accepte dans certains contextes des objets sérialisés sans validation stricte du type. Un attaquant disposant d'un compte SharePoint avec un niveau de permission « Site Member » — le niveau par défaut pour tout collaborateur d'un intranet SharePoint — peut instancier des classes arbitraires du runtime .NET et atteindre l'exécution de code côté serveur. Des analyses techniques publiées par les équipes de Penligent et Threat-Modeling.com décrivent le flux d'attaque en détail.

Le groupe d'activité Storm-2603 a été associé aux premières vagues d'exploitation documentées. Ce groupe, suivi par Microsoft et plusieurs éditeurs de sécurité, est connu pour cibler les applications Microsoft on-premises — SharePoint en particulier — comme vecteur d'accès initial. Une fois le serveur SharePoint compromis, les opérateurs de Storm-2603 déploient classiquement des outils de post-exploitation pour le mouvement latéral : reconnaissance Active Directory avec BloodHound ou SharpHound, dump de credentials LSASS, et déploiement de Cobalt Strike pour la persistance.

Les versions touchées sont SharePoint Server Subscription Edition (SPSE), SharePoint Server 2019 et SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) n'est pas affecté : Microsoft gère directement les mises à jour de son infrastructure SaaS. Ce sont donc exclusivement les organisations qui hébergent SharePoint en on-premises ou en environnement hybride qui sont exposées.

La directive BOD 22-01 émise par la CISA impose aux agences fédérales civiles américaines (FCEB) d'appliquer les correctifs du catalogue KEV dans un délai défini. Pour CVE-2026-45659, la deadline était fixée au 4 juillet 2026. Cette obligation légale ne s'applique qu'aux entités gouvernementales américaines, mais constitue un signal fort pour toutes les organisations : la CISA ne classe une vulnérabilité dans le KEV que lorsqu'elle dispose de preuves tangibles d'exploitation active.

L'incident illustre un problème de processus récurrent dans la gestion des vulnérabilités : les équipes sécurité qui se fient uniquement aux évaluations de l'éditeur prennent le risque de sous-prioriser des correctifs qui deviennent critiques en quelques semaines. Microsoft avait initialement classé CVE-2026-45659 comme « less likely to be exploited » — la CISA a contredit publiquement cette évaluation en ajoutant la faille au KEV, illustrant pourquoi le KEV reste une source d'intelligence de priorisation complémentaire et distincte du seul score CVSS.

Au moment de la rédaction de cet article, le 6 juillet 2026, on ne sait pas encore publiquement comment CVE-2026-45659 est précisément exploitée en conditions réelles, quels secteurs sont les principales cibles, ni quels sont les objectifs finaux des attaquants. Cette opacité caractérise les premières phases d'exploitation active : les acteurs opèrent avant que les équipes de threat intelligence n'aient documenté les campagnes en détail. La situation évolue rapidement.

Impact et exposition

Des dizaines de milliers d'organisations maintiennent des instances SharePoint Server on-premises, avec des concentrations importantes dans les secteurs public, défense, finance, santé et industrie. En France, SharePoint reste très répandu dans les administrations publiques, les ETI et les grandes entreprises qui n'ont pas encore migré vers Microsoft 365. La condition d'authentification préalable réduit le risque depuis Internet pour les instances non exposées publiquement, mais n'apporte aucune protection contre un attaquant disposant d'un compte interne — qu'il soit légitime, compromis ou obtenu par phishing. Dans les grandes entreprises, SharePoint est souvent accessible depuis le VPN, ce qui étend le périmètre d'exposition à tout salarié en télétravail dont les credentials ont été compromis.

Recommandations

  • Appliquer immédiatement les Cumulative Updates SharePoint du Patch Tuesday de mai 2026 pour toutes les versions concernées (SPSE, 2019, 2016) — références KB disponibles via le Microsoft Update Catalog.
  • Inventorier toutes les instances SharePoint on-premises et hybrides dans le périmètre, y compris les fermes secondaires, les environnements de test et les instances de développement.
  • Auditer les journaux d'accès SharePoint depuis le 1er mai 2026 pour détecter toute activité suspecte : requêtes inhabituelles vers les endpoints de désérialisation, création de processus enfants depuis w3wp.exe, modifications de tâches planifiées ou de clés de registre de persistance.
  • Déployer des règles de détection EDR ciblant les comportements post-exploitation de Storm-2603 : exécution de BloodHound, lancement de Cobalt Strike depuis des processus IIS, dump de credentials LSASS.
  • Isoler immédiatement les serveurs SharePoint non patchés derrière des contrôles d'accès réseau stricts et restreindre les accès externes jusqu'à l'application du correctif.

Alerte critique

CVE-2026-45659 est activement exploitée par Storm-2603. Un simple compte contributeur SharePoint suffit à exécuter du code arbitraire sur votre serveur. Si vos instances SharePoint Server ne sont pas patchées avec les mises à jour de mai 2026, traitez cette remédiation comme une urgence absolue avant toute autre action.

Mon SharePoint est derrière un VPN et non exposé sur Internet — suis-je protégé contre CVE-2026-45659 ?

Non. Le VPN réduit l'exposition depuis Internet mais ne constitue pas une protection contre CVE-2026-45659. La vulnérabilité ne requiert que des credentials de niveau « Site Member » — un niveau de permission que possèdent la quasi-totalité de vos collaborateurs. Un attaquant ayant compromis un compte utilisateur via phishing ou credential stuffing dispose de tout ce qu'il faut pour exploiter la faille depuis l'intérieur du périmètre VPN. La seule protection fiable est l'application du patch de mai 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit